Appleが「iOS 15.0.1」でロック画面をバイパスできてしまう脆弱性を修正、しかしバグ報奨金を支払っていないとの指摘

現地時間の2021年10月1日、Appleが「iOS 15.0.1」をリリースしました。iOS 15.0.1では一部のバグ修正が行われたのですが、公式が言及していない別のバグもひっそり修正されており、このひっそりと修正されたバグはAppleのバグ報奨金プログラムに報告されたものの報奨金の支払いなどがないまま放置されていたものであると指摘されています。

iOS 15 のアップデートについて - Apple サポート (日本)
https://support.apple.com/ja-jp/HT212788

Apple patched an iOS lock screen bypass without crediting its discovery | AppleInsider
https://appleinsider.com/articles/21/10/01/apple-patched-an-ios-lock-screen-bypass-without-crediting-its-discovery

2021年10月1日にAppleがリリースしたiOS 15.0.1について、Appleは「iPhone 13モデルで“Apple WatchでiPhoneのロック解除”が機能しないことがある問題」と「“設定” Appに間違って“空き容量が残りわずかです”という警告が表示されることがある問題」の2つを修正したと報告しています。

しかし、実際にはこれらと一緒にセキュリティ研究者のジョゼ・ロドリゲス氏が2021年9月22日に一般向けに公開した、VoiceOver機能と共有ツールを使うことで「iPhoneのロックを解除しないままメモアプリにアクセス可能になってしまう脆弱性」も一緒に修正されていることが明らかになりました。ロドリゲス氏は脆弱性を一般向けに公開する前に、Appleに報告していたものの、脆弱性は修正されないまま放置され続けており、報奨金の支払いもなかったため、iOS 15がリリースされた翌日に一般向けに公表することに踏み切ったと説明しています。

リリース直後の「iOS 15」でロック画面をバイパスしてメモの中身にアクセスできてしまう脆弱性が発見される - GIGAZINE

Appleはセキュリティアップデートについてまとめた公式ページ(英語版)で、iPhone 6s以降のiPhone、すべてのiPad Pro、iPad Air 2以降のiPad Air、第5世代iPad以降のiPad、iPad mini 4以降のiPad mini、第7世代iPod touchに影響のある脆弱性を修正したとしています。また、この脆弱性について「このアップデートはCVEに登録された脆弱性を修正したものではない」と記しています。

この「未知の脆弱性を修正した」とAppleが報告したものが、ロドリゲス氏が報告した脆弱性であったとApple関連メディアのAppleInsiderは報じています。なお、AppleInsiderによると既知の脆弱性をAppleが「未知の脆弱性」として修正した事例は、以前にもあるとのこと。

なお、Appleのバグ報奨金プログラムに対しては一部のセキュリティ研究者から批判の声が上がっています。ロドリゲス氏もAppleのバグ報奨金プログラムについて批判を展開していましたが、それが今回の「未知の脆弱性として修正される事態」につながったかどうかは不明です。

Appleの脆弱性報奨金プログラムへ送られた脆弱性が半年間も未修正であると判明、発見者は「失望した」としてゼロデイ脆弱性を公開 - GIGAZINE

iOS 15にある3つのゼロデイ脆弱性をセキュリティ研究者が公表、理由は「Appleのバグ報酬プログラムが機能していないから」 - GIGAZINE